Steeds vaker is te horen dat security richting een proactief optreden gaat, als aanvulling of vervanging van de reactieve maatregelen. In de komende maanden zet Security Management de recente ontwikkelingen met de nieuwste praktische en wetenschappelijke inzichten op een rij. Vandaag deel 1: Predictive Profiling.
Ligt de toekomst van security wel bij de beveiliger zoals wij die nu kennen, is de vraag die bovenkomt als we Predictive Profiling (PP) bekijken. Deze manier van beveiligen probeert ongewenste incidenten te voorkomen door op basis van kennis over hoe deze incidenten plaatsvinden dreigingsassessments uit te voeren op personen, zaken of situaties die indicatoren bezitten die passen bij de ongewenste incidenten, en hierop te interveniëren.
Proactieve security
In een snel veranderende maatschappij met een almaar groeiend dreigingsbeeld, lijken PP en proactieve security (PS) vaste waardes te zijn geworden. Het is een beveiligingsmethodiek die incidenten voorkomt en dit doet op een klantvriendelijke manier is dan ook wat veel organisaties zoeken.
Zo is Proactieve Security (PS) in feite een oplossing voor de grote uitdagingen in de security; een beveiliger weet niet tegen wie hij beveiligt, hoe deze persoon eruit ziet, en of deze persoon vandaag wel of niet aanwezig is. Door het toepassen, in welke vorm dan ook, van PP is het (beveiligend) personeel in ieder geval op de hoogte van hoe de specifieke gedragingen eruit zien die vanuit zorgvuldige analyse gevaarlijk blijken te zijn voor gedefinieerde security doelstellingen.
Beveiligers
PP is niet onlosmakelijk gebonden aan het vak van de beveiliger. In veel organisaties is de implementatie veel effectiever wanneer de methodiek wordt uitgevoerd door facilitair personeel (bijv. receptiemedewerkers) of juist ander personeel. In bijvoorbeeld de zoektocht naar radicalisering onder studenten is in overleg met universiteiten en hogescholen gebleken dat leraren en studiecoördinatoren de meest effectieve uitvoerders zijn, omdat zij de meeste contacturen hebben met de doelgroep.
De combinatie van proactieve beveiliging met bijvoorbeeld gastheerschap en hospitality is in de meeste klantbedienende markten een prachtige duo-oplossing voor het vergroten van de veiligheid en het veiligheidsgevoel in combinatie met het zo vriendelijk mogelijk benaderen van klanten.
Toepassen
Door de veelzijdige toepassingsmogelijkheden is het mogelijk voor een organisatie om PS zo in te richten dat er een hoger rendement wordt behaald met hetzelfde aantal medewerkers, of zelfs met minder. Dit wekt de vraag op bij veel organisaties, of beveiligers wel de beste uitvoerders zijn van PS. Het lijkt een hele andere manier van werken, een ander vak. Is het wel redelijk om te verwachten dat beveiligers deze taken aankunnen? En welke competenties zijn daarvoor nodig?
Onderzoek
Twee jaar geleden is er door TNO in opdracht van het Rijksmuseum Amsterdam, het Van Gogh Museum en SoSecure onafhankelijk onderzoek uitgevoerd naar de competenties van goede proactieve beveiligers. De bevindingen zijn gepubliceerd in Security Management 2013 nummer 4: ‘Wat maakt een goede proactieve museumbeveiliger?’
Op basis van de resultaten van het onderzoek is een selectietool ontwikkeld die uitspraak doet over de geschiktheid van een persoon voor het uitvoeren van proactieve veiligheid.
Wetenschap
Meer recentelijk is er onderzoek uitgevoerd door een samenwerking tussen de Britse overheid, defensie en een aantal Britse universiteiten naar de beste manier om tijdens een security interview in te schatten of iemand wel of niet de waarheid spreekt. Dit grootschalige, meerjarige onderzoek leverde de Controlled Cognitive Engagement® (CCE®) techniek op: een ondervragingstechniek gebaseerd op het stellen van open vragen en het woord zoveel mogelijk aan de ondervraagde te laten.
Deze methodiek is enerzijds een prachtige wetenschappelijke onderbouwing van een ondervragingstechniek die ook toegepast zou kunnen worden in de PP context, en anderzijds biedt het handvatten om prestatiemetingen te doen in security interviews. Deze prestatiemetingen zijn zonder wetenschappelijke onderbouwing eigenlijk niet mogelijk. De CCE® techniek lijkt sterk op de Security Questioning methodiek zoals die door profilers wordt toegepast.
Implementatie
De implementatie van PP roept ook veel nieuwe vragen op voor organisaties, omdat deze niet ingericht zijn op een proactieve werkwijze. ‘Wat zijn onze primaire security doelstellingen?’ en ‘Welke gedragingen zijn precies een dreiging voor mijn doelstellingen?’ zijn belangrijke vragen die een security manager zichzelf moet stellen voordat een goede instructie kan worden aangeleverd voor toepassing in het proactieve beleid. Een groot gebrek bij de meeste aanbieders van PP en andere proactieve beveiligingsmethodieken is een transparant inzicht in de totstandkoming van de ‘verdachte indicatoren’. Wanneer er niet specifieke analyses worden uitgevoerd, kan er alleen maar met algemeenheden worden gewerkt.
Beleid afstellen op basis van louter algemene ‘appearance & behaviour signs’ zoals vaak wordt gedaan, is namelijk niet specifieker of effectiever dan de meeste andere (reactieve) vormen van beveiliging. Een één- of tweedaagse training in het herkennen van afwijkend gedrag gaat niet het duurzame verschil maken tussen reactieve beveiliging en een proactieve aanpak. Om relevante incidenten te kunnen voorkomen, is recente en specifieke kennis nodig van het soort incidenten waar een organisatie mee te maken heeft.
Informatiebehoefte
Proactieve veiligheid in het algemeen en PP specifiek zijn dus informatiegestuurde processen. De informatiebehoefte roept wederom veel vragen op bij proactieve security managers: ‘Hoe kan één enkele organisatie echter aan deze informatiebehoefte voldoen?’ en ‘Hoe kan ik de kennis die ik al bezit zo effectief mogelijk inzetten?’
Wereld
In een ideale wereld zou er een mogelijkheid bestaan om zonder angst voor economische en imagobelangen alle informatie over incidenten bij de eigen organisatie te kunnen combineren met dezelfde informatie van collega’s en concurrenten die met dezelfde problematiek te maken hebben. Dit zou bijvoorbeeld sectoraal ingedeeld kunnen worden. Deze informatie is dan aan te vullen met zoveel mogelijk relevante informatie uit actualiteiten en van het internet om een zo compleet mogelijk en actueel dreigingsbeeld te kunnen vormen. Op basis van deze informatie kunnen de procedures van proactieve beveiligers worden gevuld met zeer specifieke gedragsindicatoren die samenhangen met de meest voorkomende en/of meest bedreigende gedragingen voor een organisatie. Belangrijker nog; deze indicatoren zijn gebaseerd op een inzichtelijke en transparante dreigingsrapportage, zodat iedere schijn van willekeur in security kan worden tegengegaan.
Net zoals beleidsbeslissingen alleen gemaakt kunnen worden mits onderbouwd door de juiste informatie, kan een dreigingsassessment zoals die wordt uitgevoerd door een predictive profiler alleen worden gemaakt mits onderbouwd door de juiste informatie.